Re: squid + ssl
Осмелюсь предложить кардинальное предложение по приструниванию
огромного кол-ва народа в неполностью "засвитчованной" сети.
У нас сейчас приблизительно такая же ситуация: хотим усилить контроль над
сетью(точнее выходом в инет). Сейчас конфигурация такая 300 юзеров +
Firewall(CBQ+transparent_squid+iptables). На firewall у нас контроль
доступа по IP адресам + permanent arp(но здесь есть один минус - можно
легко перепрошить сетевуху или ifconfig hw ether ...). Поэтому было решено
сделать доступ строго по имени пользователя + password !!!!
(то есть всё равно с какого IP он зашёл, ответственность
будет нести owner login`а).
Теперь самое интересное как мы это будем делать.
Мы собираемся использовать PPTP(шлюз будет VPN сервером). За каждым
логином будет в VPN резирвироваться IP адрес и подделать его будет
невозможно. То есть человек при желании работать в
интернете нажимает (это конечно для Windows) ярлык на рабочем
столе(ощущения как на DialUP :)))) и подсоединяется к инету:))).
Просто routing отключаем нахрен!
PPTP(клиент) - удобен, документирован, зашифрован, стабилен (в отличии
от SSH-tunnelling`a через TeraTerm )с пол тычка настраивается и в Windows и в
Linux/*nix, и ваще головной боли с ним ноль!
После настройки VPN сервера на Gateway`е уровень контроля пользователей
ограничивается только фантазией.
Удачи всем.
P.S.: очень понравился thread про переводы :))
"Вам должны установить систему" или "в ответ не приглашение а ....:)))"
LOL полный.
On Thu, Dec 20, 2001 at 01:32:17PM +0300, daapp@chat.ru wrote:
> Цитирование "Victor Vislobokov" <vvislobokov@lukoilperm.ru>,
> victor@unspecified-domain, debian-russian@lists.debian.org:
> >> Есть сеть и шлюз во внешний мир, на шлюзе стоит
> >> squid , а в сети злобные студенты со сниферами.
> >> Посему охота пускать всех необходимых пользователей сети
> >> в интернет авторизованно через squid по зашифрованному тунелю до squid'а.
> >> Поделитесь опытом, как это сделать?
> >
> > Ну перво наперво squid'у пароль передается не
> >в plain text'е а в mime, поэтому если у студентов
> >мозгов нет, то может и городить ничего не стоит?
>
> К сожалению немного имеется ;)
>
> >
> > Если все-таки стоит, то расскажу как это делал я.
> >Ессно все это очень криво и пошло, но зато работало.
> >
> > 1. Ставишь sshd на сервер со squid'ом
> > 2. Ставишь на виндозу TerraTerm с ssh plugin'ом
> > 3. Настраиваешь браузер на прокси: localhost:3128
> > 4. Настраиваешь TerraTerm на проборос портов с
> >localhost:3128 на сервер скажем 10128
> > 5. Настраиваешь на сервере sshd проброс портов
> >с 10128 на 3128
> >
> > Все.
> > Ессно перед тем как полезть браузером куда-то нужно
> >запустить TerraTerm и зайти на сервер - это первая кака
> > Вторая как в том, что это слегка подтормаживает, а
> >иногда соединение даже рвется (редко но бывает)
>
> Спасибо, способ конечно интересный, но тут есть 2 неудобных момента
> 1. не хочу пускать студентов на сервер
> 2. очень хочется обойтись одной программой(браузером), так как
> попадаются часто истинно бестолковые пользователи, и каждому не объянишь
> что и как под виндой настраивать, а самому бегать на 100 машин настраивать
> нет желания. С браузером несколько проще, я написал javascript
> автоматической настройки proxy серверов и пользуюсь на всех машинах им.
>
> Я так понимаю браузеры IE и NN не умеют ходит на прокси по ssl?
>
> Подскажите, пожалуйста, есть ли в squid'е возможность ограничивать
> объем выкачиваемой информации каждым юзером? А если нет , то что посоветуете?
>
> Правильно ли я понимаю следующее:
> есть пользователь в squid'е, у него время доступа в инет
> с 15 до 17, в 16.30 он качнул немерянный файл, который притащится
> только через 2 часа, т.е. неукладывается в его временной интервал,
> даст ли squid этот файл дотащить до конца, или оборвет?
>
> Я пробовал проводит этот эксперимент - у меня не обрывал.
> Это у меня кривые руки или это баг?
>
>
>
--
With Respect
Dmitriy Kuznetsov
ZAO "Demos-Internet"
Reply to: